Eksploatacja mostów Polkadot mintuje 1 miliard tokenów DOT na Ethereum

Zidentyfikowano krytyczną lukę w zabezpieczeniach 13 kwietnia 2026 roku w bramie Hyperbridge łączącej Polkadot i Ethereum. Według firmy bezpieczeństwa CertiK, atakujący wykorzystał podatność na odtworzenie weryfikacji dowodu Merkle Mountain Range, umożliwiając nieautoryzowany dostęp administracyjny do kontraktu DOT będącego mostem na Ethereum. Atakujący wymintował miliard fałszywych tokenów DOT i wykonał pojedynczą transakcję swap, konwertując całą podaż na około 108,2 ETH (około 237 000 USD), zanim ograniczenia płynności uniemożliwiły dodatkowe sprzedaże. Cena bridged DOT spadła z około 1,22 USD do ułamków centa w dotkniętych pulach, powodując 5% spadek ceny DOT na głównych giełdach przed częściową odbudową.

Dane z łańcucha bloków wskazują, że wyciek miał miejsce około 05:05 UTC, gdy sfałszowane dowody stanu (state-commitment proofs) ominęły kontrole uwierzytelniania w funkcji tokengateway.handleChangeAdmin. Ta wada umożliwiła atakującemu objęcie roli administratora kontraktu ERC-20 wrap DOT na Ethereum i wygenerowanie nieograniczonej podaży tokenów. Pomimo skali mintingu, ograniczona płynność na zdecentralizowanych giełdach ograniczyła zysk atakującego do poniżej 250 000 USD. Główna sieć przekaźnikowa Polkadot pozostawała bezpieczna, a natywne tokeny DOT nie zostały dotknięte naruszeniem. Programiści i audytorzy obecnie priorytetowo pracują nad łatkami, które wymuszą ścisłe kontrole roli administratora i usuną podatność na odtwarzanie.

Wiodące platformy analizy on-chain, takie jak CoinGecko, zanotowały ruch ceny DOT z 1,23 USD do nawet 1,17 USD w minutach po wykorzystaniu incydentu, zanim ustabilizowała się wokół 1,19 USD. Programiści Hyperbridge zobowiązali się do współpracy z CertiK i ekspertami ds. bezpieczeństwa blockchain, aby przeprowadzić pełne post-mortem, załatać kontrakt gateway i wdrożyć dodatkowe zabezpieczenia zarządzania. Społeczność Polkadot również przegląda niedawne środki governance dotyczące ograniczenia podaży, podkreślając potrzebę kompleksowych audytów bezpieczeństwa w rozwiązaniach cross-chain opierających się na kryptograficznych dowodach. Ten incydent uwydatnia stałe ryzyko podatności mostów i wagę rygorystycznej formalnej weryfikacji w rozwoju smart kontraktów.